ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Организации обычно внедряют многофакторную аутентификацию (MFA) и полагают, что украденных паролей больше не достаточно для доступа к системам. В средах Windows это предположение часто оказывается ошибочным. Злоумышленники по-прежнему ежедневно взламывают сети, используя действительные учетные данные. Проблема заключается не в самой MFA, а в ее охвате.

MFA, реализуемая через поставщика идентификации (IdP), такого как Microsoft Entra ID, Okta или Google Workspace, хорошо работает для облачных приложений и федеративных входов в систему. Но многие входы в Windows полагаются исключительно на пути аутентификации Active Directory (AD), которые никогда не запускают запросы MFA. Чтобы уменьшить количество взломов на основе учетных данных, команды безопасности должны понимать, где происходит аутентификация Windows за пределами их стека идентификации.

Семь путей аутентификации Windows, на которые полагаются злоумышленники

1. Интерактивный вход в Windows (локальный или присоединенный к домену)

Когда пользователь входит непосредственно в рабочую станцию или сервер Windows, аутентификация обычно обрабатывается AD (через Kerberos или NTLM), а не облачным IdP.

В гибридных средах, даже если Entra ID принудительно применяет MFA для облачных приложений, традиционные входы в Windows на системы, присоединенные к домену, проверяются локальными контроллерами домена. Если не реализованы Windows Hello for Business, смарт-карты или другой интегрированный механизм MFA, в этом потоке нет дополнительного фактора.

Если злоумышленник получает пароль пользователя (или хэш NTLM), он может пройти аутентификацию на компьютере, присоединенном к домену, без запуска политик MFA, которые защищают приложения «программное обеспечение как услуга» или федеративный единый вход. С точки зрения контроллера домена, это стандартный запрос аутентификации.

Такие инструменты, как Specops Secure Access, играют ключевую роль в ограничении риска злоупотребления учетными данными в этих сценариях. Благодаря принудительному применению MFA для входа в Windows, а также для подключений VPN и Remote Desktop Protocol (RDP), этот инструмент затрудняет злоумышленникам получение несанкционированного доступа к вашей сети. Это даже распространяется на автономные входы в систему, которые защищены аутентификацией с помощью одноразового пароля.

2. Прямой доступ по RDP, обходящий условный доступ

RDP — один из наиболее популярных методов доступа в средах Windows. Даже когда RDP не подключен к Интернету, злоумышленники часто достигают его посредством латерального перемещения после первоначального взлома. Прямая сессия RDP с сервером не проходит автоматически через облачные средства контроля MFA, что означает, что вход в систему может основываться исключительно на базовых учетных данных AD.

NTLM — это устаревший протокол аутентификации, который, несмотря на то, что он был заменен более безопасным протоколом Kerberos, все еще существует из соображений совместимости. Он также является распространенным вектором атак, поскольку поддерживает такие методы, как pass-the-hash.

В атаках «pass-the-hash» злоумышленнику не нужен пароль в виде открытого текста; вместо этого он использует хэш NTLM для аутентификации. MFA не помогает, если система принимает хэш в качестве доказательства личности.

NTLM также может появляться во внутренних потоках аутентификации, которые организации могут не отслеживать активно; только инцидент или аудит выявят его для команд безопасности.

Kerberos — основной протокол аутентификации для AD. Вместо того чтобы красть пароли напрямую, злоумышленники крадут билеты Kerberos из памяти или генерируют поддельные билеты после взлома привилегированных учетных записей. Это позволяет использовать такие методы, как:

Эти атаки обеспечивают долгосрочный доступ и латеральное перемещение, а также снижают необходимость повторных входов в систему, что уменьшает вероятность обнаружения. Эти атаки могут продолжаться даже после сброса паролей, если не устранена основная уязвимость.

5. Локальные учетные записи администраторов и повторное использование учетных данных

Организации по-прежнему полагаются на локальные учетные записи администраторов для задач поддержки и восстановления системы. Если пароли локальных администраторов повторно используются на конечных точках, злоумышленники могут расширить один скомпрометированный доступ до широкого доступа.

Локальные учетные записи администратора обычно аутентифицируются непосредственно на конечной точке, полностью обходя средства контроля MFA. Политики условного доступа Entra ID не применяются. Это одна из причин, по которой слив учетных данных остается столь эффективным в средах Windows.

6. Аутентификация Server Message Block (SMB) и латеральное перемещение